• ESET Research a découvert au moins 65 serveurs Windows compromis, d'après une analyse Internet réalisée en juin dernier.

• ESET estime qu'un acteur malveillant et jusqu'alors inconnu, lié à la Chine, est probablement à l'origine de ces attaques. Il a été baptisé GhostRedirector par les chercheurs.

• Les victimes se trouvent principalement aux États-Unis, au Brésil, en Thaïlande et au Vietnam.

• Les victimes ne sont pas liées à un secteur spécifique, mais à divers secteurs, dont l'assurance, la santé, la vente au détail, les transports, la technologie et l'éducation.

• GhostRedirector a développé Rungan, une nouvelle porte dérobée C++, capable d'exécuter des commandes sur le serveur de la victime.

• GhostRedirector a aussi développé Gamshen, un module malveillant natif IIS, capable de perturber le référencement naturel (SEO - Search Engine Optimization).

ESET Research a découvert un nouvel acteur malveillant, baptisé GhostRedirector. En juin 2025, il a compromis au moins 65 serveurs Windows, principalement aux États-Unis, au Brésil, en Thaïlande et au Vietnam. D'autres victimes se situaient au Canada, en Finlande, en Inde, aux Pays-Bas, aux Philippines et à Singapour. GhostRedirector utilisait deux outils personnalisés jusqu'alors non documentés : Rungan, une porte dérobée passive en C++ et un module malveillant des services Internet (IIS), baptisé Gamshen. GhostRedirector est fort probablement un acteur malveillant lié à la Chine. Alors que Rungan est capable d'exécuter des commandes sur un serveur compromis, Gamshen vise une fraude SEO en tant que service pour manipuler les résultats de recherche Google et améliorer le classement d'un site web cible et configuré. Son objectif est la promotion artificielle de divers sites de jeux financiers.

Fernando Tavella, le chercheur d’ESET qui a fait la découverte, explique : « Même si Gamshen ne modifie la réponse que lorsque la requête provient de Googlebot — il ne diffuse donc pas de contenu malveillant ou n'affecte pas les visiteurs réguliers des sites Web — la participation au système de fraude SEO peut nuire à la réputation du site Web hôte en l'associant à des techniques de référencement douteuses, ainsi qu'aux sites Web boostés ».

A côté de Rungan et Gamshen, GhostRedirector utilise des exploits connus EfsPotato et BadPotato, aussi une série d'outils personnalisés pour créer un utilisateur privilégié sur le serveur. Cela permet de télécharger et d'exécuter d'autres composants malveillants avec des privilèges plus élevés. Il peut aussi servir de solution de secours en cas de suppression de la porte dérobée Rungan ou d'autres outils malveillants du serveur compromis.

Bien que les victimes soient situées dans différentes régions, la plupart des serveurs compromis situés aux États-Unis semblent avoir été loués à des entreprises basées au Brésil, en Thaïlande et au Vietnam, où se trouvent la plupart des autres serveurs compromis. ESET Research estime donc que GhostRedirector ciblait davantage les victimes en Amérique latine et en Asie du Sud-Est. GhostRedirector ne s'intéressait pas à un secteur d'activité en particulier. ESET a identifié des victimes dans divers secteurs, dont l'éducation, la santé, les assurances, les transports, les technologies et la vente au détail.

Selon la télémétrie d'ESET, GhostRedirector accède probablement initialement à ses victimes en exploitant une vulnérabilité, vraisemblablement une injection SQL. Les attaquants compromettent un serveur Windows, téléchargent et exécutent ensuite divers outils malveillants : un outil d'élévation de privilèges, un maliciel déployant plusieurs webshells ou le cheval de Troie IIS et la porte dérobée déjà mentionnés. En plus de leur fonction évidente, ces outils peuvent aussi servir de solution de secours en cas de perte d'accès au serveur compromis. Les fonctionnalités de la porte dérobée comportent la communication réseau, l'exécution de fichiers, le listage de répertoires et la manipulation des clés de registre Windows et des services.

« GhostRedirector démontre aussi sa persistance et sa résilience opérationnelle en déployant, sur le serveur compromis, plusieurs outils d'accès à distance en plus de créer des comptes d'utilisateurs malveillants. Tout cela pour maintenir un accès à long terme à l'infrastructure compromise », a ajouté Tavella.

La télémétrie ESET a détecté des attaques par GhostRedirector entre décembre 2024 et avril 2025, et en juin 2025, une analyse Internet a permis d'identifier d'autres victimes. ESET a informé toutes les victimes identifiées grâce à l'analyse de la compromission. Des recommandations d'atténuation sont disponibles dans notre livre blanc (white paper) complet.

Pour une analyse plus détaillée et technique de GhostRedirector, consultez le dernier blog d'ESET Research, “GhostRedirector poisons Windows servers: Backdoors with a side of Potatoes,” sur www.WeLiveSecurity.com .  Suivez ESET Research sur Twitter (today known as X), BlueSky et Mastodon pour ne manquer aucune nouvelle.

Pays où des victimes de GhostRedirector ont été détectées